如果您有一个或多个服务器/服务(可能是FTP,HTTP和SMTP)的DMZ。 你有一个典型的服务器(如文件共享,活动目录,数据库服务器)的局域网。
根据业务和资源的集成,DMZ和LAN之间的防火墙可能有很多开放的端口。 在什么时候你会考虑不使用DMZ?
谢谢!
我不会考虑使用非军事区。 随着安全性,每增加一点你可以得到帮助。 这个想法是,限制可能发作的攻击量。 作为pipe理员,我们经常不得不争取我们被允许执行的安全措施,所以要采取任何你能得到的。 即使你必须完全打开你的局域网中的主机到DMZ,一个主机比每个主机都要好很多。
你所说的一个实际的例子是在DMZ中放置一个前端交换服务器,在LAN中放置一个后端和活动目录。 即使这些仍然可以从非军事区获得,但至less你已经限制了可能的途径。 然后,您可以尽力监视与这些特定服务相关的任何安全通知。
DMZ的目标通常是将不可信networking与可信networking分开。 根据防火墙的级别,除了打开端口之外,还可以控制连接的许多方面。
我的经验是,公司制定了一项政策,防止任何不受信任的连接直接与受信任的资源进行通信,除非经过仔细审查。 例如,DMZ中的反向代理服务器可以在提供来自可信资源的数据之前,为不受信任的连接提供预authentication。
另一点值得考虑的是,即使开放端口,也可以控制哪些设备可以通过这些端口进行通信。 例如,可能需要打开一个端口,以允许DMZ中的Web服务器与受信任的新networking中的SQL服务器之间进行SQL通信,但是可以将通过该端口的通信量限制为只有Web服务器和SQL服务器。
完全由您来制定一个边界政策,将提供最低级别的访问,以满足您的应用程序的要求。
我不喜欢“非军事区”这个词,因为这意味着你有一个区域,把你不真正特别信任的东西扔进去。 事实上很多地方只是将一些随机的交换机或集线器连接到防火墙的另一个接口,并称之为“DMZ”。
我更喜欢将单独的服务分离成单独的区域(通常是防火墙上的接口和连接到防火墙的交换机上的接口的混合)。 从那里我会做一个混合对称NAT或直接路由与ACL /防火墙规则在每服务/每服务器的基础上。 如果你是一个FTP服务器,你会得到ftp相关的访问权限; DNS服务器? 你得到端口53等,但我从来没有把FTP服务器和DNS服务器在同一个广播域。
对我来说,“DMZ”的重点主要是作为一个单一的点来监控和pipe理交通,这不仅仅是阻止交通。 您可以根据服务设置策略,并且您有一个阻塞点来设置日志logging,监视和筛选。
当然,如果你真的不得不直接进入你的公司networking,至less你仍然可以监视日志中的特定规则,使stream量进入,并监视特定的主机比其他人更密切。 理想情况下,您可以将该服务器移动到DMZ中,只允许从企业区域内进入该服务区域的访问超出了外部允许的范围; 这使您可以100%地了解该主机所生成的stream量,以便在面向互联网的服务受到威胁时,您很快就会看到它来自stream量日志。
你不应该把一些服务移到DMZ吗? 尝试从任何地方保持LAN无法访问。 然后,pipe理DMZ区域的安全。